Os hackers do Grupo Lazarus visam os investidores em criptomoedas através do LinkedIn
Os piratas informáticos utilizam o LinkedIn
Os piratas informáticos norte-coreanos do Grupo Lazarus estão a levar a cabo uma campanha em grande escala utilizando anúncios de emprego fraudulentos no LinkedIn. Eles roubam as credenciais do navegador dos candidatos a emprego, invadem carteiras de criptomoedas e estabelecem acesso persistente a dispositivos infetados.
De acordo com o BitDefender Labs, os atacantes chegam às vítimas com ofertas de emprego falsas através do LinkedIn, enganando-as para que descarreguem e executem um JavaScript stealer malicioso a partir de um servidor remoto.
"Nossos pesquisadores descobriram que o malware é um ladrão de plataforma cruzada capaz de rodar no Windows, macOS e Linux ", afirmou o BitDefender em uma postagem de blog.
O malware é projetado para atingir carteiras de criptomoedas populares, rastreando extensões de navegador específicas associadas a ativos de criptografia.
Uma análise do malware e dos métodos de ataque permitiu aos pesquisadores vincular a campanha a hackers norte-coreanos, especificamente APT38, que já usou táticas semelhantes, incluindo listas de empregos falsas e pedidos de emprego fraudulentos.
Como funciona o esquema
O esquema fraudulento começa com uma oferta de emprego sedutora no LinkedIn - colaborar no desenvolvimento de uma bolsa de criptomoedas descentralizada. Quando a vítima manifesta interesse, é-lhe pedido que forneça um currículo ou um link para o GitHub, que por si só pode ser explorado para fins fraudulentos. Os atacantes partilham então um repositório que contém um "produto mínimo viável" (MVP) de um falso projeto de criptografia.
As vítimas recebem também um documento com perguntas que só podem ser respondidas executando o código de demonstração do repositório. Esta ação desencadeia a instalação de malware, levando à infeção do dispositivo.
Os utilizadores do LinkedIn e do Reddit já relataram ataques semelhantes em que os hackers lhes pediam para clonar um repositório malicioso ou corrigir erros no seu código. A BitDefender alerta para os principais sinais de alerta, como descrições vagas de emprego, repositórios suspeitos e comunicação deficiente, para ajudar os utilizadores a evitarem ser vítimas destes esquemas.
Entretanto, os hackers norte-coreanos continuam a atacar as bolsas de criptomoedas, enquanto os EUA e os seus aliados estão a tomar contramedidas.
